Phishing uniwersalny. MS Teams, Tłumacz Google i twój e‑mail

Atak cyberprzestępców, aby był skuteczny, musi być wiarygodny. W związku z tym oszuści starają się jak najdokładniej odwzorowywać strony, pod które się podszywają. Niektóre z ich metod są niezwykle interesujące.

Od kiedy praca zdalna stała się codziennością, cyberprzestępcy mają o wiele więcej okazji na to, by znaleźć ofiarę wśród pracowników. Z tego względu firmy regularnie przypominają o tym, by zachować czujność podczas otwierania przesyłanych mailem linków. Całkiem łatwo jest trafić bowiem na oszustów.

O interesującej próbie phishingu informuje biuro prasowe Orange. Atak cyberprzestępców polega na wysłaniu fałszywego maila, który przypomina zaproszenie do spotkania w aplikacji Microsoft Teams. W treści wiadomości pojawia się e-mail adresata i link do rzekomego spotkania. Nie zgadza się tylko adres nadawcy - bookmak[@]post[.]com.

Dalsza część artykułu pod materiałem wideo

Nietypowy jest też adres, do którego przeniesie się osoba, która zdecyduje się na otwarcie zaproszenia: hxxps[://]g4xj3zj25oegesf64kw2lcfoywehmmbtx622mx2nssn6nmpq-ipfs-dweb-link[.]translate.goog.

Oczywiście nie jest to strona związana z Microsoft Teams. Można jednak zobaczyć w niej znajomy fragment, który wskazuje na to, że mamy tu do czynienia z Tłumaczem Google. To "tajna broń" oszustów, dzięki której ich phishing jest skuteczniejszy. Dzięki przekierowaniu do bezpiecznej strony tłumacza może zdarzyć się tak, że system antyspamowy nie oznaczy wspomnianej wiadomości jako zagrożenia.

Otwarcie powyższego linku nie przyniesie jednak żadnych skutków. Do ataku wykorzystany jest bardziej precyzyjny link, w którym znalazło się miejsce nawet na adres e-mail. W tym przykładzie wklejono adres CERT Orange: hxxps[://]g4xj3zj25oegesf64kw2lcfoywehmmbtx622mx2nssn6nmpq-ipfs-dweb-link[.]translate[.]goog[/]alldomain[.]html?_x_tr_hp=bafybeidklx&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp#cert.opl@orange.com.

Otwarcie tego linku prowadzi do otwartej w Google Translate strony Orange z wyświetlonym okienkiem logowania, które ma służyć przestępcom do przechwycenia naszych danych. Co ciekawe, oszustwo jest niemal w pełni uniwersalne - podmiana końcówki adresu e-mail z "orange.com" na jeden z wielu innych adresów sprawi, że wyświetlane tło będzie pochodzić z autentycznej strony, a jej logo zostanie pobrane z favicona.

Jest to phishing niemal uniwersalny - działa w przypadku wybranych popularnych serwisów. Niektóre zamiast autentycznego tła wyświetlają informację o niemożliwości załadowania obrazu. Przestępcy nie brali pod uwagę możliwości wysłania wiadomości do kogoś z adresem e-mail zarejestrowanym na przykład w domenie dobreprogramy.pl.

Biorąc jednak pod uwagę fakt, że oszustwo działa w przypadku większości dużych serwisów z usługą e-mail, apelujemy do was o ostrożność. Sprawdzajcie adresy stron, z których korzystacie, a także adresy nadawców wiadomości e-mail. To najprostszy sposób na to, by uchronić się przed kłopotami w sieci.